可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

申博_新闻事件 申博 59次浏览 未收录 0个评论

一、概述

在过去的几周中,Check Point Research与CyberInt配合确认了一系列破绽,这些破绽一旦被进击者应用,能够会致使环球第二大游戏公司EA Games的数百万玩家帐户被接受。同时,这些破绽能够还会致使进击者不法猎取用户的信用卡信息,也能够致使进击者以用户的身份购置游戏。

CyberInt和Check Point在第一时间将这些安全破绽关照EA Games,同时应用我们的专业才能协助EA修复这些破绽,以庇护其游戏玩家的好处。

二、关于Origin:EA游戏平台

EA Games具有凌驾3亿客户,公司市值如今在50亿美圆摆布,是环球第二大游戏公司,具有一系列家庭游戏,比方FIFA、Maden NFL、NBA Live、UFC、The Sims、Battlefield、Command and Conquer、Medal of Honor等。所有这些游戏都依赖于其自行开辟的Origin游戏平台,该平台许可用户在计算机和挪动装备上购置EA游戏并运转。

除了游戏功用以外,Origin还包含交际功用,比方个人资料治理、与朋侪联网谈天或直接到场游戏、与Facebook、Xbox Live、PlayStation Network、Nintendo Network等收集站点的社区集成。

三、破绽发明历程

与Check Point Research团队之前在另一个异常盛行的游戏平台Fornite上发明的破绽相似,在EA平台上发明的破绽不须要用户提交任何详细信息。相反,该破绽应用了EA Games将身份考证令牌与EA Games用户登录历程当中内置的oAuth单点登录(SSO)和TRUST机制连系运用的缺点。

我们发明,EA Games大批运用了云平台,该公司在Microsoft Azure托管多个域名,包含ea.com和origin.com,以便为其遍及环球的玩家供应种种效劳,比方建立新的游戏帐户、衔接进入Origin交际收集、在EA的在线市肆中购置更多游戏等。

视频:EA Games破绽致使帐号泄漏和身份信息盗取

四、技术细节

4.1 eaplayinvite.ea.com子域名挟制

EA Games运营多个域名,包含ea.com和origin.com,以便为其遍及环球的玩家供应种种效劳,包含建立新的Apex Legend帐户、衔接到Origin交际收集、在EA的在线市肆购置新的游戏等。

一般,像EA Games如许依赖于云效劳的公司所供应的每项效劳,都会在一个唯一的子域名地点上注册,比方eaplayinvite.ea.com,而且具有指向特定云效劳商主机的DNS指针(A纪录或CNAME纪录)。在我们的示例中,ea-invite-reg.azurewebsites.net是一个Web应用程序效劳器,会在背景运转所需的效劳。

eaplayinvite.ea.com的DNS指针指向CNAME纪录,即ea-invite-reg.azurewebsites.net:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

Azure是由Microsoft供应支撑的云效劳供应商处理方案,许可公司注册新的效劳(比方:Web应用程序、REST API、虚拟机、数据库等),以便向环球的在线客户供应这些效劳。

每一个Azure用户帐户都能够要求注册特定效劳称号(效劳称号.azurewebsites.net),该称号将在Azure子域名考证历程当中考证其CNAME纪录,并衔接到构造特定的域名或子域名。

然则,依据CyberInt举行的研讨,他们发明ea-invite-reg.azurewebsites.net效劳在Azure云效劳中不再运用,但唯一的子域名eaplayinvite.ea.com依然运用CNAME设置重定向到该域名。

eaplayinvite.ea.com的CNAME重定向许可我们在本身的Azure帐户中建立新的胜利注册要求,并将ea-invite-reg.azurewebsites.net注册为我们新的Web应用程序效劳。如许一来,我们基本上就挟制了eaplayinvite.ea.com的子域名,而且能够监控EA正当用户的要求。

将“eaplayinvite.ea.com”的CNAME重定向更改成我们本身的Azure帐户中托管的“ea-invite-reg.azurewebsites.net”:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

如下图所示,在挟制以后的DNS纪录状况显现,eaplayinvite.ea.com已重定向到我们的新Azure云Web效劳:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

4.2 oAuth无效重定向致使帐户接受

在控制了eaplayinvite.ea.com子域名以后,我们的团队找到了一个新的目的,即研讨怎样滥用TRUST机制。TRUST机制存在于ea.com和Origin.com域名及其子域名之间。如果能胜利滥用该机制,那末我们就能够支配oAuth协定的实行体式格局,并应用该破绽完成完整的帐户接受。

我们起首须要肯定EA Games是怎样设置oAuth协定并为其用户供应单点登录(SSO)机制。SSO机制经由过程唯一的SSO令牌(SSO Token)交流用户凭证(用户名和暗码),然后运用该令牌对EA收集的任何平台(比方:accounts.origin.com)举行身份考证,而无需再次输入其凭证。

在剖析EA Games的oAuth SSO在几个EA效劳(比方:answers.ea.com、help.ea.com、accounts.ea.com)中详细完成的历程当中,我们对EA的身份考证流程举行了研讨,并控制了有关如今实行的TURST机制的更多信息。

作为运用EA全局效劳经由过程answers.ea.com胜利举行身份考证历程的一部分,oAuth HTTP要求将发送到accounts.ea.com以猎取新的用户SSO令牌,然后应用程序应经由过程signin.ea.com将其重定向到名为answers.ea.com的终究EA效劳以辨认用户。

运用answers.ea.com举行身份考证的oAuth SSO要求:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

oAuth身份考证SSO令牌经由过程signin.ea.com重定向到EA的answers.ea.com效劳器:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

Leprechaun——一个可以让渗透测试时间成倍缩减的工具

如果你在获得某个组织的网络最高权限后,最想做的是什么呢?根据调查,人们在这种情况下最想做的就是把该组织中的有价值的数据都复制过来。 虽然目前有很多工具和方法可以让我们在渗透测试期间获得更高的权限,但在获取权限后,使用什么样的工具来帮助我们查找有价值的数据,就很有讲头了。在这篇文章中,我想介绍Leprechaun,这是一个新近被开发出来的后开发(post-exploitation)工具。 关于Leprechaun 在我进行过的许多渗透测试活动中,通常获得某种高级权限的过程只是一个时间问题,之后我便可以在内部环境中枚举所有的系统和服务。我个人最喜欢使用的工具之一是Bloodhound,BloodHound以用图与线的形式,将域内用户、计算机、组、

然则,我们发明,实际上能够经由过程修正被我们挟制的EA子域名eaplayinvite.ea.com的HTTP要求中的returnURI参数,来肯定天生oAuth令牌的EA效劳地点。

oAuth要求为eaplayinvite.ea.com天生新的用户令牌:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

效劳器天生有用令牌,而不会考证假的EA效劳:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

然则,由于EA的效劳器端还具有一些限定,所以仅仅天生上述要求,将天生的SSO令牌重定向到我们这边还并不充足。

下面,我们将剖析EA引入的限定,并一一申明我们怎样胜利绕过这些限定,从而使我们的进击历程兵器化。

五、打破EA末了的防地

5.1 限定1:缺乏有用的援用

为了攻下EA帐户,研讨团队须要将上文提到的要求发送到accounts.ea.com,个中也包含修正后的参数,该参数将伪装成受益用户的身份。

然则,accounts.ea.com的后端效劳器会经由过程搜检HTTP Referer头部的体式格局来考证要求是不是最初是来自受信托的Origin域名。

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

为了打破此限定,我们须要以受益用户的身份,从EA受信托的域名或子域名发出要求。因而,我们将新的iframe编码到被我们挟制的子域名的索引页面上,以便从iframe启动要求,并绕过效劳器考证。

eaplayinvite.ea.com歹意索引页面:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

进击者在eaplayinvite.ea.com上天生iframe以绕过HTTP Referer考证:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

5.2 限定2:要求泉源题目

在我们向signin.ea.com发送要求以完成歹意身份考证历程,并将受益者的令牌发送到eaplayinvite.ea.com上的被挟制子域名后,会天生一个新的jQuery函数,并返回至客户端以重定向令牌。

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

然则,由于目的效劳器(eaplayinvite.ea.com)不是当前Origin(signin.ea.com)的组成部分,因而jQuery $.postMessage函数此时将没法实行。因而,该函数将向浏览器控制台发送毛病,并住手向我们发送令牌。

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

为了处理这个题目,我们必需要在signin.ea.com上寻觅一个新的令牌重定向的体式格局,由于jQuery函数阻挠它们将受益用户的令牌作为歹意流量的一部分传输出去。

经由屡次尝试,我们终究捕捉了一个包含redirectback参数的signin.ea.com的差别要求。该参数将指导效劳器运用returnuri值,并直接将页面重定向到该页面,而不将受益者的接见令牌附加到其上。

发送redirectback参数,以绕过jQuery泉源题目:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

效劳器经由过程简朴的重定向到目的效劳器来举行相应:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

此时,我们想法将经由身份考证的EA玩家重定向到我们的效劳器。我们在接见oAuth SSO身份考证的iframe以后就能够实行此项操纵,所以也就能够在我们的效劳器中纪录传入的要求。

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

由于运用我们的歹意iframe经由过程severaloAuth SSO URL对玩家举行了重定向,所以如今令牌就会被发送到HTTP Referer标头中表现的效劳器上。signin.ea.com上末了一次重定向运用window.location JavaScript函数将玩家重定向到我们的效劳器。它包含玩家的SSO令牌,并许可我们对其举行控制。

纪录传入的Referer值,并搜刮受益用户的Access-Token:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

运用受益用户oAuth SSO令牌登录进击者的PC:

可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析

原文地点: https://www.4hou.com/vulnerable/18872.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明可致使数百万玩家帐户被挟制:EA游戏帐户挟制破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址